Aunque no es la mayor filtración de datos de la historia —cuyo dudoso honor probablemente sigue ostentando la fuga combinada de 1500 millones de cuentas de Yahoo entre 2013 y 2014— el ciberataque a Equifax ha sido uno de los más devastadores. Ha puesto en riesgo números de la seguridad social, números de tarjetas de crédito, fechas de nacimiento, permisos de conducción y direcciones de más de 143 millones de personas.

Si usted es estadounidense o ha trabajado en EE. UU. y no le preocupa, es que no está prestando atención. Esto es todo lo que debe saber sobre el ciberataque a Equifax, cómo podría afectarle y qué puede hacer para protegerse.

¿Qué es Equifax?

¿No conoce Equifax? Pues ellos seguramente le conocen bastante bien.

Equifax es una de las cuatro mayores agencias de informes de crédito con sede en EE. UU. Estas agencias se encargan de recopilar información sobre todos nuestros hábitos de préstamo y consumo para crear informes de crédito sobre nosotros. Cualquier entidad que esté en posición de concederle un préstamo, gestionar su dinero o enviarle dinero puede acceder a su informe de crédito para decidir si procede con la transacción.

¿Qué recopilan las agencias de informes de crédito como Equifax?

  • Números de la seguridad social
  • Fechas de nacimiento
  • Permisos de conducción y otros datos de identificación
  • Direcciones
  • Números de tarjetas de crédito e historiales de compra
  • Información sobre préstamos y deudas
  • Información de cuentas bancarias

¿Qué ocurrió en el ciberataque a Equifax?

Logotipo de Equifax del que caen tarjetas de crédito, tarjetas de la seguridad social y permisos de conducción.

A mediados de marzo de 2017, varios análisis de seguridad encontraron una vulnerabilidad en el software de código abierto Apache Struts, que se utiliza para crear ciertos sitios web, como el de Equifax.

Aunque se publicó una corrección para la vulnerabilidad, parece ser que Equifax no lo implementó. Gracias a esto, los hackers pudieron acceder a su sistema desde mediados de mayo hasta finales de julio, momento en que Equifax finalmente se percató de la intrusión y la detuvo. La empresa realizó entonces una auditoría interna silenciosa que finalizó a principios de septiembre, cuando formalmente anunció la filtración. 

Esto no solo significa que la información personal de 143 millones de personas estuvo en riesgo durante casi 2 meses, sino que,además, los atacantes tuvieron cerca de 4 meses para aprovecharse de las identidades robadas.

¿Le parece un escándalo? Pues aún hay más. Al margen de las pésimas medidas de seguridad implementadas, más tarde se supo que varios directivos de Equifax vendieron una gran cantidad de acciones tras conocer la intrusión, pero antes de que saliera a la luz. Aunque la empresa asegura que esta venta no tiene ninguna relación, lo cierto es que tiene muy mala pinta.

¿En qué medida el ciberataque a Equifax me puede poner en riesgo?

La filtración de Equifax es distinta a cualquier otra. En las filtraciones anteriores, siempre se habían visto afectadas distintas partes de la identidad digital de alguna persona: una cuenta de Instagram, una cuenta de Apple, un número de tarjeta de crédito... Pero esta es la primera filtración que ha ocurrido en una entidad que recopila prácticamente todas las piezas fundamentales de identidades reconocidas institucionalmente.

Esta filtración contiene todo lo que un ladrón necesita para hacerse con su identidad

Dicho de otro modo, solo con la filtración de Equifax los hackers obtuvieron todo lo necesario para robar su identidad.

Fraude de identidad financiera

Los ladrones pueden usar la información filtrada de varias formas para realizar un robo de identidad financiera. Podrían:

  • Abrir nuevas líneas de crédito con distintas entidades y acumular una deuda estratosférica
  • Robarle la devolución de impuestos y crearle problemas con la agencia tributaria
  • Realizar compras con sus tarjetas de crédito
  • Darse de alta en servicios a su nombre
  • Obtener préstamos educativos
  • Perjudicar su calificación crediticia

Cualquiera de estos casos podría tener ramificaciones a largo plazo en su vida financiera que tardarían años en resolverse. Y aunque se resolvieran, esta situación podría ponerle en apuros a la hora de pedir líneas de crédito o hipotecas cuando las necesitara e incluso podría perjudicar su futuro profesional al buscar empleo, cuando las empresas revisaran sus registros. 

Fraude de identidad criminal

No todo serían problemas financieros. Los ladrones de identidad podrían cometer delitos a su nombre: Hurtos, registrarse en hoteles u hospitales sin pagar las facturas, generar multas por exceso de velocidad... Sinceramente, los delincuentes son mucho más creativos que cualquier lista que podamos elaborar.

La cuestión es que sería usted quien incurriría en esos delitos y la policía, los abogados y las empresas de cobro de deudas llamarían a su puerta para detenerle o reclamarle dinero. Y en muchos casos deberá personarse físicamente en aquellos lugares donde se ha producido el delito para demostrar su inocencia.

¿Me afecta la filtración de Equifax?

No puede saberlo con certeza

Equifax ha creado un sitio web donde puede introducir una parte de su número de la Seguridad Social estadounidense para comprobar si se ha visto afectado. Así es, una empresa que ha sido incapaz de proteger datos cruciales le está pidiendo que le envíe más datos para comprobar si se ha visto afectado. ¿Lo peor de todo? Varios investigadores no solo han señalado que el sistema parece poco seguro (¡sorpresa!), sino que también podría ser algo más que una táctica evasiva de la empresa: al introducir caracteres aleatorios se obtienen las mismas respuestas que al introducir información legítima.

Es revelador el hecho de que si usted tiene nacionalidad canadiense o británica y se ha podido haber visto afectado por la filtración, el sistema no le ofrece ningún método para comprobarlo.

O dicho de otro modo: no confíe en el sitio web de Equifax.

Presuponga que se ha visto afectado

La mayor parte de los datos robados pertenecen a documentos y documentos de identidad que no se pueden modificar fácilmente. Esto significa que, incluso transcurridos muchos años, alguien en algún lugar podría acceder a estos datos y utilizarlos, por lo que se vería expuesto a todas las situaciones antes descritas.

¿Cómo puedo estar seguro tras la intrusión a Equifax?

No es una situación fácil de revertir. De hecho, resulta casi imposible si su información formaba parte de los datos sustraídos. Aun así, puede tomar algunas medidas:

  1. Obtener una congelación de crédito de cada entidad de informes de crédito al consumo
  2. Establecer alertas de fraude (si es posible, extendidas)
  3. Comprobar periódicamente su informe de crédito
  4. Vigilar su declaración de impuestos
  5. Casos extremos: Valorar un cambio de número de la seguridad social

1. Pedir una congelación de crédito

Informes de crédito congelado con los logotipos de Equifax, Experian, Transunion e Innovis.

Esto es lo primero que debería hacer para protegerse contra el fraude financiero y mantener su calificación crediticia intacta. Para pedir una congelación de crédito (también denominada congelación de seguridad), debe ponerse en contacto con las cuatro entidades de protección del consumidor:

En principio es posible pedir una congelación de crédito por Internet, pero en algunos casos es posible que deba pedirla por teléfono o por escrito. Cada entidad le proporcionará un PIN que podrá utilizar para descongelar su archivo de crédito y así poder pedir nuevas líneas de crédito.

Es posible que se aplique un pequeño cargo a la hora de solicitar la congelación, pero si obtiene una copia de un informe policial y una declaración jurada de que puede ser víctima de un robo de identidad (lo cual no resulta difícil, dada esta filtración), puede obtener la congelación sin ningún coste.

Las congelaciones de crédito no son la solución perfecta, pero es lo mejor que puede hacer para protegerse

Aunque tenga que invertir algo de dinero, créanos: vale la pena. No solo impedirá que alguien abra nuevas líneas de crédito, sino que evitará directamente que las compañías emisoras comprueben su archivo de crédito, lo que le ayudará a proteger su calificación crediticia.

Aunque las congelaciones no son la solución perfecta, siguen siendo la mejor medida que puede tomar para protegerse.

En todo caso, no deje que le confundan con ofertas de otros servicios: Un «bloqueo de crédito» no es lo mismo que una congelación de crédito y no impedirá que las agencias de crédito vendan su informe a cualquiera que lo pida.

Recuerde que la venta de informes es la principal fuente de ingresos de las agencias de crédito, por lo que no se lopondrán fácil. Sea perseverante.

2. Establecer una alerta de fraude

Las alertas de fraude son un nivel de seguridad adicional que puede establecer en su archivo de crédito. Una alerta de fraude impide que una entidad crediticia o un proveedor de servicios le conceda un crédito sin obtener primero su aprobación. Solo es necesario pedir la alerta de fraude a una de las agencias anteriores, ya que estas están obligadas por ley a compartir la alerta con las demás.

Las alertas de fraude solo duran 90 días, pero puede solicitar una alerta de fraude extendida de siete años si proporciona el mismo tipo de informe policial o declaración jurada que utilizó para la congelación de crédito gratuita.

Tenga en cuenta, no obstante, que aunque las agencias deberían ponerse en contacto con usted, no están obligadas legalmente a hacerlo. Una alerta de fraude no sustituye la congelación de crédito.

3. Comprobar periódicamente su informe de crédito

Debería comprobar su informe de crédito de forma periódica y denunciar cualquier actividad sospechosa que detecte. Hágalo una vez al trimestre para quedarse tranquilo. Puede pedir una copia gratuita de su informe de crédito a las agencias a través de este sitio web impuesto por el gobierno: annualcreditreport.com.

¿Y los servicios de control de crédito?

Los servicios de control de crédito no impiden que se abran nuevas líneas de crédito ni evitan que los defraudadores cometan delitos, pero podrían serle útiles para recuperarse del robo de identidad y del fraude financiero más adelante. También tienen un coste mayor que pedir una congelación de seguridad en su informe de crédito.

Los servicios de control de crédito no impiden el fraude ni el robo de identidad

En respuesta a la filtración, Equifax ofrece actualmente un año de control de crédito gratuitamente. La letra pequeña menciona que al usar el servicio renuncia a cualquier derecho de participar en una demanda colectiva en un futuro, pero también han dicho por escrito que esto no se aplica a su oferta gratuita actual.

No hay motivo para no aprovechar la oferta, pero una vez transcurra el año gratuito, tenga por seguro que intentaran venderle más años de una forma agresiva.

4. Vigilar su declaración de impuestos

Si detecta que alguien ya ha presentado su declaración de impuestos, póngase en contacto con la agencia tributaria de su localidad y denúncielo inmediatamente. El fraude fiscal es un problema cada vez mayor y la filtración de Equifax no hace más que facilitar que se cometa este delito.

Valore presentar la declaración de impuestos de forma anticipada para adelantarse a un posible defraudador. 

5. Casos extremos: Cambiar su número de la seguridad social

Si se ha filtrado su número de la seguridad social, ninguna de las medidas descritas anteriormente hará que sea seguro volver a usarlo. Su número de la seguridad social puede usarse de muchas formas, entre otras, para cometer fraude fiscal. Y si cree que tratar con entidades financieras es un quebradero de cabeza, espere a tratar con la agencia tributaria.

Aunque no es una decisión que deba tomarse a la ligera, está en su mano solicitar un nuevo número de la seguridad social. El proceso no es sencillo y requerirá una gran cantidad de papeleo, pero el gobierno tiene una página que detalla todo lo que necesita para cambiar su número de la seguridad social.

Esté atento a las estafas

Aunque los ladrones de identidad son una clara amenaza, la cantidad de información filtrada de Equifax también es un auténtico botín para los timadores. Pueden usar esta información para estafarle, a usted o a gente de su entorno, con toda clase de triquiñuelas.

Llamadas telefónicas

«Le llamamos de Equifax para verificar la información de su cuenta».

No se lo crea. Vigile: Equifax no llama a nadie. Si recibe una llamada que dice ser de Equifax, no facilite ningún dato personal. Cuelgue y contacte con Equifax usando el número de su sitio web.

Vigile: Equifax no llama a nadie. Si recibe una llamada que dice ser de Equifax, cuelgue

Tampoco se fíe del identificador de llamada: los estafadores saben cómo suplantarlo. Si recibe una llamada automática, no pulse ningún número para hablar con un operador o para que le borren de la lista de contactos con finalidades comerciales

En definitiva, si no ha llamado usted, no facilite ningún dato.

¿Cree que ha recibido una llamada falsa? Denúncielo a la Comisión Federal de Comercio.

Correos electrónicos de phishing

Correos electrónicos enganchados en una caña de pescar.

En otras ocasiones ya hemos explicado cómo detectar correos electrónicos falsos. Ha llegado el momento de ponerse paranoico. En este caso debe buscar la dirección desde la que se envían los correos electrónicos: Equifax solo envía correos electrónicos desde @equifax.com, @trustedid.com y @e.equifax.com.&nbsp

Los estafadores pueden crear direcciones que parecen prácticamente idénticas a las reales, así que preste mucha atención a los detalles. Como precaución adicional, no haga clic en ningún enlace de los correos electrónicos ni descargue ningún archivo adjunto.

Si cree que un correo electrónico puede ser legítimo, abra el navegador y vaya al sitio web de Equifax directamente para asegurarse de que se conecta al sitio correcto.

Sitios web de phishing

¿Se acuerda del sitio que creó Equifax para comprobar si le afectaba la filtración, el mismo que dijimos que no era de fiar? Pues bien, alguien ya lo ha falsificado. Aún peor: el servicio de atención al cliente de Equifax tuiteó el sitio falso a sus clientes.

Sí, esto pasó de verdad. Y aunque esta página falsa se creó con buenas intenciones para ilustrar esta idea, lo cierto es que podría haberse usado para phishing.

Créanos cuando le decimos que debe ser extremadamente cauto y no debe hacer clic en ningún enlace que parezca proceder de Equifax.

Aunque no sea el mejor momento para presentarle un producto, lo cierto es que AVG Internet Security es muy útil para bloquear correos electrónicos de phishing e impide que le redirijan a sitios web de phishing. Si no lo utiliza, pruébelo gratuitamente.

Pruebe AVG Internet Security de forma GRATUITA

 

AVG Internet Security Pruébelo GRATIS